Вирус требует пополнить номер абонента МТС на сумму 400 руб. или баннер с цифровыми кнопками.

Включаете в один прекрасный день Вы свой компьютер, а там баннер такой красивый в стиле Windows требует оплатить какому-то абоненту МТС 400 рублей, что бы Вы смогли продолжить смотреть детское и гей порно. Грозится если в течении 10 часов Вы не введете код, то все данные, включая Windows и bios будут безвозвратно удалены, а при попытке переустановить систему судя по всему вирус потычет компьютер паяльником. Бред полный.

И так нам потребуется загрузочный диск Alkid Live CD&USB скачать образ можно с страницы

Хватит и урезанной версии, нам только нужен редактор реестра.

Или создаем, загрузочную USB Flash, как написано в данной статье.

Загружаемся с диска или загрузочной флешки и запускаем редактор реестра.

Проверяем параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - параметр Shell у вас Explorer.exe а не что иное, для точной уверенности лучше стереть то что там написано и ввести собственными руками, т.к. некоторые буквы могут быть в другой раскладке клавиатуры набраны и это будет уже совсем другой файл.

В этом же разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Userinit должен выглядеть как C:\WINDOWS\system32\userinit.exe

В данном случае оказалось, что данные параметры не тронуты, идем дальше по ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon а вот здесь присутствует лишний параметр Shell который и загружает баннер из C:\virus\vd.exe .

В данном случае просто удаляем параметр Shell, нажав кнопку Delete.

В оригинале вирус располагался в C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\temporary_downloads\vd.exe , и в принципе, если удалить этот файл, то исчезнет и баннер.

{jcomments on}